voidlinux ограничение привелегий

Во-первых, что именно у тебя не получилось?

Во-вторых, ты меня удивил - оказывается sudo можно использовать относительно вменяемым способом. Хотя я всё равно не буду его использовать.

Это все примерно одинаково делается на любом дистрибутиве. Создаешь пользователя admin, добавляешь его в группу wheel, блокируешь root.

Только нужно учитывать, что в VoidLinux sudo по умолчанию не настроен, так что нужно будет отредактировать /etc/sudoers.

А что можно использовать за мест «sudo» лучше sudo чем root, разве нет?
Тем более учетка админ используется только для установки софта и обновлений.
А учетка «user» вообще ни каких привелегий ни имеет как бы.
Или у тебя есть более безопасный способ?

Я уже точно ни помню на каком месте застрял, так как это все еще смотрел на виртуалке.

Но если знаешь как зделать это:

apt install --no-install-recommends -y \
sudo
adduser admin
addgroup admin sudo
chage --expiredate -1 root
passwd --lock root

Проделать анологичными командами в void то подскажи пожалуйста, приведя аналогичный пример.
Вот узнал от человека ниже (Kron4ek ), что нужно «добавить admin в группу wheel, »
В devuan я этого ни делал, по этому точно ни знаю как это делается.

Предпологаю так: useradd -m -g user -G wheel -g user -s /bin/bash admin

А что можно использовать за мест «sudo» лучше sudo чем root, разве нет?
Тем более учетка админ используется только для установки софта и обновлений.
А учетка «user» вообще ни каких привелегий ни имеет как бы.
Или у тебя есть более безопасный способ?

Насчёт «user ни каких привилегий» согласен.

Насчёт остального: разница между «логиниться как admin и делать sudo» и «логиниться как root» почти не заметна. Хотя, надо признать, она всё-таки есть, поэтому (+ к тому что у user-а нет sudo) я и написал, что твой способ использования sudo на удивление нормальный. Но я логинюсь за рута просто.

Вот узнал от человека ниже (Kron4ek ), что нужно «добавить admin в группу wheel, »
В devuan я этого ни делал, по этому точно ни знаю как это делается.

Как командами никогда не интересовался, я просто открываю /etc/group в текстовом редакторе и дописываю там. Будет строка типа такой

wheel:x:какое-то-число:

допиши её так:

wheel:x:какое-то-число:admin

если этой строки там нет значит группы wheel тоже нет (у меня в дебиане её нет например, зато есть группа sudo в которую ты добавлял).

Понятно наверное, надо смотреть..
Днем попробую.

Вот узнал от человека ниже (Kron4ek ), что нужно «добавить admin в группу wheel, » В devuan я этого ни делал, по этому точно ни знаю как это делается.

Делается так:

# gpasswd -a admin wheel

Это для уже созданного пользователя.

Благодарю!

Кажому наверное на вкус и цвет, как помни иметь такике привелегие в системе опасно...
Учитывая ядро linux))
Всякие уязвимости системы: systemd, polkyt, dbus и прочее...

Добрый вечер.
Вобщем я по пробывал но ни получилось.
Сначало я установил естествено: sudo, nano.
Потом: gpasswd -a admin wheel
Потом зашел по пути: nano /etc/sudoers
%wheel ALL=(ALL) ALL Раскоментирован.
Пробую зайти от админа ни выходит, думаю значит еще добавить))
Пробую так:
# useradd -G sudo -d /path/to/home/admin -m admin -p пороль

Смотрю вроде как добавлен, но когда пробуешь зайти ни заходит.
Потом пробывал так:
# useradd -G wheel -d /path/to/home/admin -m admin -p пороль

Тоже ни чего...(

Если кто знает как зделать так:

apt install --no-install-recommends -y \
sudo
adduser admin
addgroup admin sudo
chage --expiredate -1 root
passwd --lock root

От учетной записи admin: sudo delgroup user sudo

Тойсть: Создать admin учетку, и в ней разрешить 'sudo' а root удалить. С учетной записи «user» убрать sudo.

Только командами для данного дистра, но на пишите пример пожалуйста.

Тойсть: мне на данном этапе нужно добавить пользователя «admin» и добавить, (если я правильно понимаю в группу «sudo» ) а после уже удалить root

Пароль для admin задай через команду passwd. Useradd не принимает пароли в чистом текстовом виде.

Брал с какого то примера по archlinux.. Значит не верно, ни спорю.. Вы говорите что ни верно, но ни говорите как правильно нужно))

Я же сказал, что через команду passwd нужно.

# passwd admin

А как добавить admin в группу sudo ?

Зачем тебе его добавлять в группу sudo, если ты уже добавил его в группу wheel? В любом случае я уже писал выше, как добавлять пользователя в группу.

я ни знаю)) я же говрил, что devuan я добовлял.
Значит ни надо понял. gpasswd -a admin wheel
passwd admin
А дале остается убрать сам root
А sudo по умолчанию в учетной записи user на void вроде нету.

Благодарю, буду пробывать.

Я так понимаю, в Debian sudo по умолчанию разрешен для пользователей в группе sudo. А в Void Linux ты его разрешил для группы wheel, когда раскомментировал соответствующую строку в /etc/sudoers. Названия групп разные, но смысл один и тот же.

Да, в debian разрешен.

Оказывается в групе user тоже судо работает.
Пробвал убрать root закоментировав в /etc/sudoers (root), но ни выходит.
Так же ни знаю как убрать из учетной записи user sudo.

А в каких он группах состоит?

$ groups user

Кто состоит user или root...
Ни знаю...
И как проверить на void?

User конечно же. Я написал точную команду, которая это покажет.

что можно использовать за мест «sudo»

OpenDoas.

$ groups user

wheel floppy audio video cdrom optical kvm xbuilder

Удали его из группы wheel и он тогда не сможет использовать sudo.

gpasswd -d user wheel

Понял, сделаю!)

C делал, помогло. Благодарю.
Потом я начал искать инфу как вообще удалить root учетку, что бы рут прав вообще не было.

Нашел эту ни плоху статью:
<url>https://itsecforu.ru/2018/06/17/4-способа-отключить-учетную-запись-root-в-lin...

Я делал: $ sudo vim /etc/passwd
И замените:
root:x:0:0:root:/root:/bin/bash
на
root:x:0:0:root:/root:/sbin/nologin

и это:

$ sudo mv /etc/securetty /etc/securetty.orig
$ sudo touch /etc/securetty
$ sudo chmod 600 /etc/securett

Все эти примеры только ограничивают доступ к системе, и если а всего скорей, а так оно и есть, ядро то с блобами в linux.
То это ни достаточно.

А нужно полность удалить учетку root
Далее я делаю так: От учетной «admin» $ sudo userdel -r root

Достаточно ли этого? Как считаете?

Это все излишне, достаточно просто заблокировать пароль root, чтобы в него нельзя было залогиниться.

passwd -l root

И вообще не факт, что полное удаление пользователя root что-нибудь не сломает, так как многие системные процессы в фоне работают под рутом.

Думаю это задача решина, благодарю за помощь!

Все эти примеры только ограничивают доступ к системе, и если а всего скорей, а так оно и есть, ядро то с блобами в linux. То это ни достаточно.

Ты лучше подумай вот о чем, у любой запущенной программы есть доступ ко всем файлам пользователя, и она может с ними сделать что угодно, root права для этого совсем не нужны. А еще любая программа может читать ввод с клавиатуры в X сервере, тоже без root прав.

А в процессоре есть своя, неподконтрольная пользователю, микроОС (Intel ME / AMD PSP) с полным доступом к железу, которая тоже потенциально что угодно может наделать.

Если думать обо всех дырах, бэкдорах и лазейках, то можно просто свихнуться.

Ты лучше подумай вот о чем, у любой запущенной программы есть доступ ко всем файлам пользователя, и она может с ними сделать что угодно, root права для этого совсем не нужны. А еще любая программа может читать ввод с клавиатуры в X сервере, тоже без root прав.

Ты знаешь как это по фиксить или может есть маны хорошие по этому?

А в процессоре есть своя, неподконтрольная пользователю, микроОС (Intel ME / AMD PSP) с полным доступом к железу, которая тоже потенциально что угодно может наделать.

Да, это верно. Часть этого можно отключить (Intel ME / AMD PSP).

Если думать обо всех дырах, бэкдорах и лазейках, то можно просто свихнуться.

Это верно. Я ни настолько параноик)) Только лишь по возможности.

Ты знаешь как это по фиксить или может есть маны хорошие по этому?

Использовать песочницы/контейнеры типа bubblewrap / firejail и настроить в них доступ только к нужным файлам. Или самое просто, но тоже эффективное - создать отдельного пользователя (или нескольких) и запускать под ним любые программы, которым не особо доверяешь. Таким образом у программ не будет доступа на запись к файлам других пользователей. Можно это через sudo делать для удобства.

Что касается прослушки ввода в X сервере, то тут ничего особо не сделаешь, разве что Xephyr использовать, но это неудобно. Как вариант, использовать Wayland композиторы.

Писочницы это хорошая идея*.
firejail мно раз поподался на уезвимостях. Bubblewrap будет думаю по лудше, гляну.
Только он используется проектом Flatpak.
Уменя что к Flatpak, Snap и как он там называется, не доверие..

Использовать еще одну одельную учетную запись, например «network» только без sudo* можно.
Только для программ требущий выход в сеть.
Для остальных просто спомощью iptables, в одельной учетке например «user» полность запретить выход в сеть.
Ни знаю правда на сколько это удобно будет, надо попробывать.
Так как без выхода в сеть, думаю врядли что они могут сделать.(Если это конечно не руткит, троян или другой специалезированный зловред)
Благодарю за идеи:)

Правда я ни знаю как по одельности, для одной учетной записи разрешить выход в сеть а для другой за претить. Делемма.